Le règlement général sur la protection des données (RGPD) fait l’objet aujourd’hui, soit un peu plus de deux ans après son entrée en application, d’un rapport d’évaluation publié par la Commission européenne. Ce rapport fait apparaître que le RGPD a atteint la plupart de ses objectifs, notamment en conférant aux citoyens un ensemble solide de droits opposables et en créant un nouveau système européen de gouvernance et de contrôle de l’application. Le RGPD s’est révélé être un outil souple à l’appui de l’élaboration de solutions numériques dans des circonstances imprévues telles que la crise de la COVID-19. Le rapport conclut également que l’harmonisation dans l’ensemble des États membres progresse, malgré une certaine fragmentation qu’il faut surveiller en permanence. Il constate également que les entreprises développent une culture du respect de la réglementation et font de plus en plus valoir comme un avantage concurrentiel le niveau élevé de protection des données qu’elles assurent. Le rapport énumère à l’intention de toutes les parties prenantes, en particulier les petites et moyennes entreprises, des actions visant à faciliter davantage l’application du RGPD, afin de promouvoir et de continuer à développer une véritable culture européenne en matière de protection des données et un contrôle rigoureux de l’application.
Věra Jourová, vice-présidente chargée des valeurs et de la transparence, a déclaré à cette occasion: «Faisant désormais référence, le régime européen de protection des données nous guide dans la transition numérique centrée sur l’humain et constitue un pilier important sur lequel nous nous appuyons pour élaborer d’autres politiques, telles que la stratégie pour les données ou notre approche de l’intelligence artificielle.Le RGPD illustre parfaitement comment l’Union européenne, en adoptant une approche fondée sur les droits fondamentaux, donne à ses citoyens les moyens d’agir et offre aux entreprises des possibilités de tirer le meilleur parti de la révolution numérique. Mais nous devons tous continuer à œuvrer pour que le RGPD réalise son plein potentiel.»
Didier Reynders, commissaire chargé de la justice, s’est exprimé en ces termes: «Le RGPD a atteint ses objectifs et est devenu une référence à travers le monde pour les pays qui souhaitent accorder à leurs citoyens un niveau élevé de protection. Nous pouvons toutefois mieux faire, comme le montre le rapport publié aujourd’hui. Par exemple, nous avons besoin d’une plus grande uniformité dans l’application des règles sur tout le territoire de l’Union: c’est important pour les citoyens et pour les entreprises, notamment les PME. Nous devons aussi faire en sorte que les citoyens puissent pleinement faire usage de leurs droits. La Commission assurera le suivi des progrès accomplis, en étroite coopération avec le comité européen de la protection des données et dans ses échanges réguliers avec les États membres, de sorte que le RGPD puisse libérer tout son potentiel.»
Principales conclusions du réexamen du RGPD
Les citoyens sont mieux armés et plus conscients de leurs droits: le RGPD renforce la transparence et confère aux particuliers des droits opposables, tels que les droits d’accès, de rectification et d’effacement, le droit d’opposition et le droit à la portabilité des données. Aujourd’hui, 69 % de la population de l’UE âgée de plus de 16 ans connaissent l’existence du RGPD tandis qu’ils sont 71 % à avoir entendu parler de leur autorité nationale chargée de la protection des données, selon les résultats, publiés la semaine dernière, d’une enquête de l’Agence des droits fondamentaux de l’Union européenne. Toutefois, il est possible de faire davantage pour aider les citoyens à exercer leurs droits, notamment le droit à la portabilité des données.
- Les règles en matière de protection des données sont adaptées à l’ère du numérique: le RGPD a permis aux particuliers de jouer un rôle plus actif quant à l’utilisation qui est faite de leurs données dans le cadre de la transition numérique. Il contribue aussi à encourager une innovation digne de confiance, notamment grâce à une approche fondée sur les risques et à des principes tels que la protection des données dès la conception et par défaut.
- Les autorités de protection des données font usage de leurs pouvoirs renforcés d’adopter des mesures correctives: des avertissements et rappels à l’ordre aux amendes administratives, le RGPD dote les autorités nationales chargées de la protection des données des outils adéquats pour en faire respecter les dispositions. Ces autorités doivent toutefois bénéficier d’un soutien suffisant par la mise à disposition des ressources humaines, techniques et financières nécessaires. De nombreux États membres œuvrent actuellement en ce sens, augmentant de façon notable les dotations budgétaires et en personnel. D’une manière générale, les autorités nationales chargées de la protection des données dans l’UE, considérées toutes ensemble, ont vu leurs effectifs augmenter de 42 % et leur budget, de 49 % entre 2016 et 2019. Toutefois, des écarts considérables persistent entre les États membres.
- Les autorités de protection des données collaborent dans le cadre du comité européen de la protection des données, mais des améliorations sont possibles: le RGPD a établi un système de gouvernance innovant conçu pour garantir une application cohérente et efficace du RGPD grâce à ce que l’on appelle le «guichet unique», mécanisme selon lequel une société traitant des données dans un contexte transfrontière n’a pour interlocutrice qu’une seule autorité de protection des données, à savoir l’autorité de l’État membre dans lequel est situé son établissement principal. Entre le 25 mai 2018 et le 31 décembre 2019, 141 projets de décision ont été soumis par l’intermédiaire du «guichet unique», dont 79 ont abouti à une décision définitive. Toutefois, il est possible de faire davantage pour développer une véritable culture commune de la protection des données. En particulier, le traitement des dossiers transfrontières requiert une approche plus efficace et plus harmonisée ainsi qu’une utilisation effective de tous les outils prévus dans le RGPD afin que les autorités de protection des données coopèrent.
- Avis et lignes directrices publiés par les autorités de protection des données: le comité européen de la protection des données publie des lignes directrices portant sur des aspects essentiels du règlement et sur des thèmes nouveaux. Plusieurs autorités de protection des données ont créé des outils nouveaux, notamment des lignes d’assistance téléphonique destinées aux particuliers et aux entreprises, et des boîtes à outils pour les petites et les micro-entreprises. Il est primordial de veiller à ce que les orientations données à l’échelle nationale soient strictement conformes aux lignes directrices adoptées par le comité européen de la protection des données.
- Exploiter pleinement le potentiel des transferts de données internationaux: au cours des deux dernières années, l’engagement international de la Commission en faveur de transferts de données sans entraves et sécurisés a produit d’importants résultats. Ce constat vaut notamment pour les transferts de données entre l’UE et le Japon, qui possèdent à présent en commun la plus grande zone de libre circulation sécurisée de données au monde. La Commission poursuivra ses travaux sur l’adéquation du niveau de protection des données conjointement avec ses partenaires dans le monde. En outre, et en coopération avec le comité européen de la protection des données, la Commission envisage de moderniser d’autres mécanismes de transferts de données, dont les clauses contractuelles types qui sont l’outil de transfert de données le plus couramment utilisé. Le comité européen de la protection des données élabore actuellement des orientations spécifiques sur l’utilisation de la certification et sur des codes de conduite applicables au transfert de données en dehors de l’UE, orientations qui doivent être achevées au plus vite. Étant donné que la Cour de justice de l’Union européenne est susceptible d’apporter des éclaircissements dans un arrêt qu’elle rendra le 16 juillet et qui pourrait présenter un intérêt pour certains éléments du principe d’adéquation, la Commission établira un rapport distinct sur les décisions d’adéquation existantes, après que la Cour aura rendu son arrêt.
- Promouvoir la coopération internationale: au cours des deux dernières années, la Commission a intensifié les dialogues bilatéraux, régionaux et multilatéraux, encourageant le développement, d’une part, d’une culture mondiale du respect de la vie privée et, d’autre part, de la convergence entre les différents systèmes de protection de la vie privée, dans l’intérêt tant des citoyens que des entreprises. La Commission est résolue à poursuivre ces travaux dans le cadre de l’action extérieure plus vaste de l’UE, par exemple, dans le contexte du Partenariat Afrique-UE et par son soutien aux initiatives internationales, telles que celle intitulée «Libre flux de données en toute confiance» («Data Free Flow with Trust»). Alors que les violations des règles en matière de protection de la vie privée peuvent toucher simultanément un grand nombre de personnes dans plusieurs régions du monde, il est temps d’intensifier la coopération internationale entre les instances chargées de veiller à la protection des données. C’est la raison pour laquelle la Commission sollicitera du Conseil l’autorisation d’ouvrir des négociations en vue de la conclusion, avec les pays tiers concernés, d’accords d’assistance mutuelle et de coopération en matière de prévention et de répression.
Mise en conformité du droit de l’UE avec la directive en matière de protection des données dans le domaine répressif
Par ailleurs, la Commission a également publié aujourd’hui une communication qui recense dix actes juridiques régissant le traitement de données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, qu’il conviendrait de mettre en conformité avec la directive en matière de protection des données dans le domaine répressif. Cette mise en conformité sera porteuse de sécurité juridique et clarifiera certaines questions telles que les finalités du traitement de données à caractère personnel par les autorités compétentes et les types de données pouvant faire l’objet d’un tel traitement.
Contexte
Le RGPD prévoit que la Commission présente un premier rapport sur l’évaluation et le réexamen de ce règlement après deux ans d’application et tous les quatre ans par la suite.
Le RGPD est un corpus unique de règles du droit de l’Union régissant, d’une part, la protection des particuliers à l’égard du traitement des données à caractère personnel et, d’autre part, la libre circulation de ces données. Il renforce les garanties en matière de protection des données, confère aux citoyens des droits supplémentaires et renforcés, accroît la transparence et rend tous les acteurs du traitement des données à caractère personnel davantage comptables de leurs actes et plus responsables. Il a doté les autorités nationales chargées de la protection des données de pouvoirs d’exécution harmonisés et renforcés et a instauré un nouveau système de gouvernance entre les autorités de protection des données. Par ailleurs, il crée des conditions de concurrence équitables pour toutes les entreprises actives sur le marché de l’UE, quel que soit leur lieu d’établissement, garantit la libre circulation des données dans l’UE, facilite les transferts de données internationaux sécurisés et constitue, à présent, une référence à l’échelle mondiale.
Comme indiqué à l’article 97, paragraphe 2, du RGPD, le rapport publié ce jour porte en particulier sur les transferts internationaux et sur le «mécanisme de coopération et de cohérence», même si la Commission a adopté une approche plus large de son réexamen afin d’aborder des questions soulevées par divers acteurs au cours des deux dernières années. Le rapport est alimenté par les contributions respectives du Conseil, du Parlement européen, du comité européen de la protection des données, des autorités nationales chargées de la protection des données et des parties prenantes.